ما الجديد
الحالة
موضوع مغلق

Net Master

عضو محترف
التسجيل
3/9/03
المشاركات
651
الإعجابات
7
العمر
38
#41


أخي العزيز egyptian hak

قضيت تقريباً يومين كاملين في دراسة البرنامج Tiny Personal Firewall
واستطاع ان يجتاز معظم الأختبارات ما عدا

CopyCat اللعين فهو عاجز تماما عن ادراكه
جربت جميع الاحتمالات وراقبت الملف شخصياً
وراقبت ملف EXPLORER.EXE و ixplorer

وايضاً رصدت جميع العمليات حتى ملفات *.DLL

وكذلك الخدمات ولكن الأختبار عجيب غريب
نعم نجحت في ان الملف exploited.txt لم يتم تنزيله الى مجلد السي
ولكني فشلت في قطع الأتصال بين البريمج والمتصفح كما فعل الزوم الارم
هل يعقل ان يكون تيني بهذه البلادة !!
انتهت عملية الأختبار بتركيب الوندوز من جديد
لا أدري لماذا لم يعد الجهاز قادر على الاقلاع
وفقدت ملفات كثيرة لأنه لم يكن في الحسبان
على اي حال لم افقد الأمل أو على الأقل استطعت ان
افهم لوحة التحكم الخاصة بالحاجز

ينقصني الآن الملف packet.dll الخاص بالأختبار OutBound

والرابط أعلاه لا يعمل ارجو ان كان لديك ان ترفقه ولك الشكر

اوافيكم لاحقاً

ومن العايدين وكل عام وأنت بخير


تحياتي
 

egyptian hak

عضوية الشرف
التسجيل
9/7/03
المشاركات
6,415
الإعجابات
1,300
#42
اخى العزيز افلاطون
الملف بالمرفقات انت بس تأمر
وانا استطعت بالزون ان اجتاز به جميع الاختبارات بلا استثناء بما فيه الاختبار الجديد
Evil
الروسى هذا
وبعد هذا المجهود من الاعدادات يمكن من لوحه تحكم البرنامج عمل باك اب لاعدادات البرنامج وحفظها حتى لايتم الضبط فى كل مره يركب فيها البرنامج
كما استطاع ال Looknstop وقف جميع الاختبارات بما فيها ال Evil ولكنه فشل فى copy cat فقط
وبهذه النتيجه يحتل الزون المقدمه حتى اشعار اخر
تحياتى
 

Net Master

عضو محترف
التسجيل
3/9/03
المشاركات
651
الإعجابات
7
العمر
38
#43
الف الف شكر

فعلاً الزوم يتمتع بقدرات تأهله للمقدمة
سأعود اليه اذا يأست من ظبط تيني

تقبل تحياتي
 

egyptian hak

عضوية الشرف
التسجيل
9/7/03
المشاركات
6,415
الإعجابات
1,300
#44
اخى العزيز ارجوا مراجعه الخاص
 

Net Master

عضو محترف
التسجيل
3/9/03
المشاركات
651
الإعجابات
7
العمر
38
#45


من العايدين أخي ايجبشن هاك
نسأل الله ان نكون من المقبولين

وعن الكبي كات فهو الآن مؤدب ويستأذن ليس مره فقط
ولا مرتين ولا عشرة
:D
يا سلام صار قمه في الأدب

أصل الموضوع كان محتاج شوية روقان فقط


تحياتي أخي العزيز
 

Batboot

عضـو
التسجيل
21/11/03
المشاركات
680
الإعجابات
1
#46


اخواني الاعزء والله حيرتونا يعني اي فايروول انزل عندي ؟
zonealarm pro 45_530 هذه احدث اصدارة
او
Tiny Personal firewall pro v5.0 هذه احدث اصدارة

يا ريت تخبروني وتعلموني وبارك الله فيكم.
مع تحياتي البطبوطية.
 

Net Master

عضو محترف
التسجيل
3/9/03
المشاركات
651
الإعجابات
7
العمر
38
#47
الأخت البطبوطه
الأمر يعود اليك فكلاهما ممتاز
ولكني انصحك بــ zonealarm
لأن اعداداته اسهل للضبط واعترف بأن فيه تقنية عالية
ويبدو ان الأستاذ المشرف قد اجتاز به جميع الأختبارات
وهذا يؤهله الى القمة

اما Tiny فهو اعجوبة لمن يجيد التعامل مع لوحة التحكم
وأخيراً ولله الحمد تمكنت من فهمها كامله تقريباً
الأخ egyptian hak
رحت فين يا راجل اصل العيد انتهى خلاص
والا انته قرايبك كتيير
:D

شوف يا باشا
بإذن الله سأضع طريقة الأختبارعمل كبي كات مفصله
ابتدأ من أول ضربه عليه بالماوس
وانتهاء بتنزيل الملف exploited.txt الصغير الى مجلد السي
وفي نفس الوقت
انا منتظر منك شرح للزون الآرم
وكيف اجتاز الاختبار الأضافي ايفل
وأتمنى ان يستفيد القراء من الشرح
وعلى فكره لا أدري لماذا يصنف المكافي الأختبار backstealth على انه تروجان
بينما يصنف البقيه على انها ملفات غير مرغوب فيها فقط
اللي جربه يشيله من الجهاز وخلاص

لي عودة بالشرح المذكور
إلا أن يشاء الله


تحياتي
 

Net Master

عضو محترف
التسجيل
3/9/03
المشاركات
651
الإعجابات
7
العمر
38
#48
[c] '',


أخي العزيز egyptian hak


هذا هو شرح طريقة تقنية الأختبار CopyCat أتمنى ان تحوز على رضا الجميع
وللعلم فقد أختصرتها كثيراً لأنها مفصله ودقيقه

والحقيقه ان الوقت لم يساعدني لأخذ بعض الصور وقد أكتفيت بشرح مسار البرنامج الذي يوضح صعوبة التصدي له








نبدأ الآن بظربة كلك بالماوس على البريمج
[/c]
كود:
[l]						
		EXPLORER.EXE               [COLOR=blue]Open File [/COLOR] 
           C:\Desktop\copycat\copycat.exe

EXPLORER.EXE              Spawning process               C:\Desktop\copycat\copycat.exe

EXPLORER.EXE              Spawning in own security context              C:\Desktop\copycat\copycat.exe

EXPLORER.EXE              [COLOR=blue]Open File [/COLOR] 
             C:\Desktop\copycat\copycat.exe.Manifest


 EXPLORER.EXE
 هو الذي يشغل بقية ملفات الوندوز تقريباً 




EXPLORER.EXE	
[COLOR=crimson]Set registry key value[/COLOR] 


	Object:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU

	Object:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\
{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:
\Qbphzragf naq Frggvatf\NABALZBHF\Qrfxgbc\pbclpng\pbclpng.rkr



EXPLORER.EXE     Process started       C:\Desktop\copycat\copycat.exe
	

الآن أصبح البريمج يعتمد على نفسه
copycat.exe                   Open directory                     C:\Desktop\copycat
copycat.exe                 Open directory                C:\Desktop\copycat.exe.local




copycat.exe	
[COLOR=crimson] Query registry key value[/COLOR] 


	Object:HKLM\System\CurrentControlSet\Control\
Terminal Server\TSAppCompat

	Object:HKLM\System\CurrentControlSet\Control\
Terminal Server\TSUserEnabled

	Object:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LeakTrack

	Object:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility32\copycat

	Object:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IME Compatibility\copycat

	Object:HKLM\System\CurrentControlSet\Control\Session Manager\SafeDllMode


لاحظ العلاقه بين قيمة الريحستري الأخيره و الملف الذي يتم تشغيله في الخطوه القادمه 

وفي جميع الخطوات القادمة أيضاً 


copycat.exe            [COLOR=blue]Open File [/COLOR] 
                Object:C:\Desktop\copycat\LPK.DLL



copycat.exe           [COLOR=crimson] Open registry key (read)[/COLOR] 

	Object:HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers

		Object:HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\
CodeIdentifiers\TransparentEnabled




copycat.exe        [COLOR=blue]Open File [/COLOR] 
           Object:C:\Desktop\copycat\USP10.dll
 



copycat.exe              [[COLOR=crimson] Query registry key value[/COLOR] 

		Object:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs



 copycat.exe                  [COLOR=blue]Open File [/COLOR] 


Object:C:\Desktop\copycat\UmxSbxExw.dll

Object:C:\Desktop\copycat\UmxSbxw.dll




copycat.exe                          [COLOR=crimson] Query registry key value[/COLOR] 

	Object:HKLM\System\CurrentControlSet\Services\KmxAgent\
Parameters\SecurityEnabled

	 	Object:HKLM\System\CurrentControlSet\Control\Session Manager\CriticalSectionTimeout

 		Object:HKCR\Interface\InterfaceHelperDisableAll

 		Object:HKCR\Interface\InterfaceHelperDisableAllForOle32

 		Object:HKCR\Interface\InterfaceHelperDisableTypeLib

 		Object:HKCR\Interface\{00020400-0000-0000-C000-000000000046}

 		Object:HKCR\Interface\{00020400-0000-0000-C000-000000000046}\InterfaceHelperDisableAll

 		Object:HKCR\Interface\{00020400-0000-0000-C000-000000000046}\InterfaceHelperDisableAllForOle32



copycat.exe	

		[COLOR=blue]Open File [/COLOR] 
	Object:C:\Desktop\copycat\copycat.ARE

 		[COLOR=blue]Open File [/COLOR] 
	Object:C:\Desktop\copycat\copycat.ARE.DLL

 		[COLOR=blue]Open File [/COLOR] 
	Object:C:\Desktop\copycat\copycat.AR
	
 		[COLOR=blue]Open File [/COLOR] 
	Object:C:\Desktop\Desktop\copycat\copycat.AR.DLL
أكتمال بقية أجزاء البريمج 	



						       ------

							ENTER

						       ------

EXPLORER.EXE         [COLOR=blue]Open File [/COLOR] 
        Object:C:\Desktop\copycat\copycat.exe

		[COLOR=blue]Open File [/COLOR] 
    Object:C:\WINDOWS\system32winsrv.dll

		[COLOR=blue]Open File [/COLOR] 
           Object:C:\WINDOWS\system32\rpcss.dll








							-----

							ENTER

							-----

copycat.exe
       [COLOR=crimson] Query registry key value[/COLOR] 

	Object:HKLM\SOFTWARE\Microsoft\Rpc\MaxRpcSize

		Object:HKLM\System\CurrentControlSet\Control\ComputerName\
ActiveComputerName\ComputerName




copycat.exe         Low level access               Object:AdjustTokenPrivileges

copycat.exe          [COLOR=blue]Open File [/COLOR] 
                         Object:C:\Desktop\copycat\PSAPI.dll





					 هنا نقطة اكتمال تنصيب البرنامج واذا مسكه الحاجز بعدها فقد نجح في الأختبار --- حظاً سعيداً 	      

						     Good Luck! 



							-----

							ENTER

							-----

copycat.exe            Low level access             Object:VirtualAllocEx

     copycat.exe         Low level access        Object:WriteProcessMemory


     [COLOR=chocolate]Low level access [/COLOR] 
عادةً يكون انتقال الأوامر  عن طريقه - كما لاحظت طبعاً وليست حقيقه علميه 


iexplore.exe   
            [COLOR=crimson] Query registry key value[/COLOR]
	Object:HKLM\SOFTWARE\Microsoft\DownloadManager\CacheOk

	Object:HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache

	
Object:HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32\EnableFileTracing

	
HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32\FileTracingMask

	HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32\EnableConsoleTracing

	HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32\ConsoleTracingMask

	HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32\MaxFileSize

	HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32\FileDirectory

	HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\EnableAutodial

	Object:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\NoNetAutodial

	
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName

	
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass

	
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults\http

	HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Hostname

	HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Domain

	HKLM\System\CurrentControlSet\Control\ComputerName\ComputerName\ComputerName




[SIZE=3][COLOR=darkred]copycat.exe     Process ended[/COLOR] [/SIZE] 

أنتهى عمل البريمج هنا بعد ان جهز المتصفح الغبي لأكمال عملية الأختراق 	




iexplore.exe       


Create file   Object:C:\Local Settings\Temporary Internet Files\Content.IE5\EXARSLYF\1[1].txt    

		Write file     Object:C:\Documents and Settings\ANONYMOUS\Local Settings\Temporary 
Internet Files\Content.IE5\EXARSLYF\1[1].txt 
	
		
EXPLORER.EXE            [COLOR=crimson] Query registry key value[/COLOR] 

 Object:HKCR\.txt\Content Type


		[COLOR=blue]Open File [/COLOR] 
               
 Object:C:\Local Settings\Temporary Internet Files\Content.IE5\EXARSLYF\1[1].txt



			[COLOR=blue]Create File [/COLOR] 
   Object:C:\exploited.txt

[COLOR=blue]Write File [/COLOR] 
    Object:C:\exploited.txt


[/l]






[c] وللمعلومية ان بأمكان Tiny القبض عليه عند كل خطوة من الخطوات السابقة
بعد ظبط الأعدادات
وفي الحقيقه انني استفدت كثيراً من التجربة السابقه وطبقتها على بقية الأختبارات
و أخذت القاسم المشترك بين جميع مسارات البرامج

بإذن الله اقوم بشرح الحاجز الفذ تيني عما قريب

وتقبلوا تحياتي










[/c]
 

egyptian hak

عضوية الشرف
التسجيل
9/7/03
المشاركات
6,415
الإعجابات
1,300
#49
اخى العزيز افلاطون بارك الله فيك والف شكر
ولكن ماذا عن باقى الاختبارات
اتمنى ان تكمل جميلك بشرح البرنامج وطريقه ضبط اعداداته جميعها
اعلم انه مجهود كبير ولكن اعانك الله
والف شكر وسوف اقوم بتجربته
 

Net Master

عضو محترف
التسجيل
3/9/03
المشاركات
651
الإعجابات
7
العمر
38
#50
العفو يا مشرفنا
ولكني انصحك لا تجربه الا اذا كان لديك الكثير من الوقت
أو على الأقل حتى اتمكن من شرحه ربما اختصر عليك بعض النقاط المهمه جداً

و في الحقيقه انها تجربه مثيره لأنه بمجرد تشغيل البريمج ارى مساره في جهازي كاملاً
وبكذا اقدر اضع له الف عقبه في طريقه ولن يفلت مني ابداً :D

تحياتي
 

alsaamr2002

عضو محترف
التسجيل
24/9/03
المشاركات
591
الإعجابات
9
#51
[c]الاخوان egyptian hak و Net Master

بارك الله فيكم وفي عملكم وجعله في موازين اعمالكم الحقيقة انتم مكسب كبير لنا ونحن نعتز ونفتخر بوجود مثل هذه العقول النيرة ونسأل الله ان نرى يوم ما برنامج للحماية من الاختراقات والفيروسات من صنع ايدكم وهذا ليس ببعيد عن اشخاص يتمتعون بهذه المقدرة والمعرفة من العلم.

تحياتي لكما يا مفخرة بوابه داماس

[/c]
 

Net Master

عضو محترف
التسجيل
3/9/03
المشاركات
651
الإعجابات
7
العمر
38
#52
[c]

الأخ العزيز دبوي اشكر لك حسن التواصل ولك اطيب تحية
أخي العزيز نوكيا 2000 سلمت وقد اخجلتنا من ردك العسل
نسال الله التوفيق والسداد




تحياتي أخي الكريم
[/c]
 

abd9m

عضو مميز
التسجيل
26/5/03
المشاركات
299
الإعجابات
1
#53
الف شكر
 

Batboot

عضـو
التسجيل
21/11/03
المشاركات
680
الإعجابات
1
#54



شكرا جزيلا على الرد السريع وقد فاجأتني بصراحة بسرعة الرد هذه

طيب عندي سؤال ثاني بنفس الموضوع ، لو شلت الاكسبلورر من جذوره

وقمنا بوضع متصفح opera مثلا بدلا منه فهل هذا مفيد في منع المخترقين

يعني يقلل من عمليات الاختراق والمشاكل؟

شكرا جزيلا لكم اخواني اعضاء داماس
 

Net Master

عضو محترف
التسجيل
3/9/03
المشاركات
651
الإعجابات
7
العمر
38
#55
الاخ \الاخت Batboot
تحية طيبة

وفي الحقيقة ان معظم عمليات اختراق المتصفح تكون على الاكسبلورر
وذلك لأنه المتصفح الأفتراضي لدى معظم الناس وهذا ما جعله هدفاً للكراكرز
اما من ناحية استخدام متصفح آخر بغرض منع ألاختراقات فبلا شك ستكون اقل عرضه من الاكسبلورر
ولكن لا تنسى ان المتصفح ليس الثغره الوحيده الوندوز على بعضه مليان ثغرات
لإغلاق الثغرات بشكل عام الحل الوحيد هو حاجز ناري + تنصب جميع الباتشات اول بأول
وهناك في الحقيقة موضوع اغلاق الثغرات سيطرح قريباً هنا في قسم الأمن
والهدف هو اغلاق جميع المنافذ ما عدا الضرورية جداً جداً
الموضوع يخص الوندوز اكس بي

اعطيك فكرة سريعة

صورة للمنافذ قبل الأغلاق



الصورة السابقة بها حوالي 17 منفذ مفتوح وفي حالة استماع




صورة للمنافذ بعد الإغلاق




بقي منفذ واحد فقط وهو اكثر من ضروري ان يبقى مفتوح

هذا بالأضافة الى اغلاق العديد من الخدمات الغير ضرورية والتي ممكن تفتح ثغرة في اي وقت

الموضوع في المرحلة الأخيرة فأبقوا معنا


تحياتي
 
الحالة
موضوع مغلق

أعلى